全球代码签名时间戳服务器
文档范围
本文整理适用于代码签名的时间戳服务,重点关注 Microsoft Authenticode 和 RFC 3161 场景。
- 核验日期:2026-06-18。
- 仅将能够从提供商官方资料确认的地址列为公开端点。
- 本文不是全球所有时间戳服务的穷尽清单。未公开端点、需要商业开通或仅提供本地部署产品的服务单独说明。
- 时间戳服务的可用性、证书链和接入策略可能变化,生产配置前应重新检查提供商最新文档。
时间戳协议
代码签名常见两类时间戳协议:
| 协议 | 说明 |
|---|---|
| Authenticode | Microsoft 传统时间戳协议,主要用于兼容旧式 Windows 代码签名流程。 |
| RFC 3161 | 通用时间戳协议,适合现代代码签名场景,生产环境优先使用。 |
RFC 3161 请求发送的是待时间戳数据的摘要,而不是原始文件。TSA 返回包含摘要、签发时间、策略和 TSA 签名的时间戳令牌。时间戳可以证明签名在特定时间已经存在,但签名能否长期保持有效仍取决于签名证书、时间戳证书、撤销状态和验证方策略。
公开代码签名时间戳端点
以下地址均有当前官方资料明确说明,可作为代码签名候选。表中的"公开"只表示官方公布了端点,不代表提供商承诺无限制、无条件或永久免费使用。
| 提供商 | 地址 | Authenticode | RFC 3161 | 接入说明 | 官方资料 |
|---|---|---|---|---|---|
| Microsoft Artifact Signing | http://timestamp.acs.microsoft.com | 未确认 | ✅ | Microsoft 建议 Artifact Signing 用户使用该 TSA。适合作为 Windows RFC 3161 候选。 | Microsoft Artifact Signing |
| Sectigo | http://timestamp.sectigo.com | ✅ | ✅ | 同一地址支持 Authenticode 和 RFC 3161。官方要求批量调用时每次请求至少间隔 15 秒。 | Sectigo Time Stamp Server |
| DigiCert | http://timestamp.digicert.com | 未确认 | ✅ | 官方明确用于 Microsoft Authenticode RFC 3161 时间戳。 | DigiCert RFC 3161 TSA |
| Certum | http://time.certum.pl | ✅ | ✅ | Certum 官方代码签名文档将该地址用于 Windows 代码签名和 Java JAR 签名。 | Certum Code Signing |
| GlobalSign | http://timestamp.globalsign.com/tsa/r45standard | 未确认 | ✅ | GlobalSign 当前代码签名文档使用该 R45 地址。 | GlobalSign Code Signing in Windows |
| SSL.com | http://ts.ssl.com | ❌ | ✅ | 仅支持 RFC 3161。默认时间戳可能使用 ECDSA 密钥;只支持 RSA 时间戳的旧工具可按官方说明评估 /legacy 地址。 | SSL.com Using Your Code Signing Certificate |
推荐顺序
面向 SHA-2 代码签名时,建议按以下顺序评估:
- Microsoft:适合作为 Windows RFC 3161 时间戳候选。
- Sectigo:同时支持 Authenticode 和 RFC 3161。
- DigiCert:官方明确支持 Microsoft Authenticode RFC 3161。
- Certum:官方代码签名文档同时覆盖 Windows 和 Java 签名场景。
- GlobalSign:使用当前官方文档中的
r45standard地址。 - SSL.com:仅在调用方支持 RFC 3161,并确认能够验证其时间戳证书和密钥类型时使用。
顺序表示与常见 Windows 代码签名场景的匹配程度,不构成对服务质量、法律效力或商业等级的保证。生产环境应根据目标操作系统、网络出口、验证链、区域可达性和供应商服务协议进行选择。
受限或生态专用服务
QuoVadis
QuoVadis 公布了以下 RFC 3161 地址:
http://ts.quovadisglobal.com/euhttp://ts.quovadisglobal.com/ch
官方要求先向 DigiCert 注册调用方出口 IP,因此不能按匿名公共 TSA 使用。接入前应完成授权,并确认所选策略和证书链符合目标验证环境。
官方资料:DigiCert/QuoVadis Timestamp Server
Apple
Apple 运营自己的时间戳 PKI,并公开 Apple Timestamp CA 及相关 CPS。http://timestamp.apple.com/ts01 用于 Apple 代码签名生态,不应作为 Windows Authenticode 的通用候选。
官方资料:Apple PKI
公共或试用型 RFC 3161 服务
以下服务提供公开 RFC 3161 端点,但使用范围、调用额度或信任链不适合作为通用生产代码签名服务。使用前应在目标验证环境中检查时间戳证书链。
| 提供商 | 地址 | 适用范围 | 限制 | 官方资料 |
|---|---|---|---|---|
| MeSign | http://tsa.mesign.com | 文档签名、电子数据存证和 RFC 3161 协议试用 | 官方免费试用服务面向 Adobe 文档时间戳,每个 IP 每日限制 20 次。代码签名兼容性需单独验证。 | MeSign TSA |
| FreeTSA | https://freetsa.org/tsr | RFC 3161 协议测试、通用数据和代码时间戳 | 免费公共服务,使用自有 CA 和 TSA 证书,不应假设目标操作系统或代码签名验证器默认信任。 | FreeTSA |
不应直接列为公共代码签名端点的服务
以下类型与"可直接配置的公开代码签名 TSA"不同:
- Entrust:当前官方页面介绍的是基于 RFC 3161/RFC 5816 的本地部署 Timestamping Authority 产品,没有在该页面确认
http://timestamp.entrust.net/TSS/RFC3161sha2TS是公开代码签名端点。 - 中国大陆商业 TSA:GDCA、CFCA、安信 CA、SmartCert、TrustAsia 等厂商提供时间戳产品或签名工具,但公开产品页通常没有给出可匿名调用的统一生产 URL。应通过采购、合同或厂商技术支持获取端点、认证方式、策略 OID、速率限制和 SLA。
- Sigstore Timestamp Authority:这是可部署的 RFC 3161 TSA 开源实现,不等同于一个固定的全球公共端点。
- 历史 GlobalSign 地址:
http://timestamp.globalsign.com/tsa/r6advanced1和http://rfc3161timestamp.globalsign.com/advanced没有出现在当前 GlobalSign 代码签名文档中,应使用当前公布的r45standard地址。 - StartSSL:
http://tsa.startssl.com/rfc3161没有可确认的当前官方服务资料,不应继续使用。 - nCipher 示例地址:
http://dse200.ncipher.com/TSS/HttpTspServer更接近历史演示或测试系统,没有当前公共生产服务依据。 - 来源和运营策略不明确的地址:
https://ca.signfiles.com/tsa/get.aspx、http://services.globaltrustfinder.com/adss/tsa和https://tsp.iaik.tugraz.at/tsp/TspRequest缺少足够的当前官方服务说明、信任策略或可用性保证,不应加入生产候选列表。 - 其他科研网络 TSA:可以用于协议测试,但没有足够的代码签名生产保障资料,不建议作为生产默认服务。
生产接入检查
将 TSA 加入默认列表或生产回退链前,至少确认:
- 提供商官方资料明确公布端点和支持的协议。
- 使用正确的时间戳协议,不能将仅支持 RFC 3161 的地址用于 Authenticode 请求。
- 使用 SHA-256 或更强的时间戳摘要算法,并确认目标平台兼容 TSA 的签名算法和密钥类型。
- 在目标 Windows、macOS 或其他验证环境中检查完整时间戳证书链。
- 确认出口网络、代理、防火墙和 DNS 能稳定访问端点。
- 确认认证方式、速率限制、服务条款、区域限制和 SLA。
- 使用实际签名产物执行验签,不能只通过浏览器访问或 HTTP 状态码判断 TSA 可用。